实验：Windows2000server的文件EFS加密和删除账号后的恢复机制.docVIP

实验：Windows2000 Server EFS文件加密 及删除帐号后的文件恢复机制 实验目的：掌握Windows2000 server进行EFS文件加密后帐号被删除后的恢复方法 姓名：邢润涛 Email:xingrt@ 实验环境：预装Windows 2000 server 实验步骤： 任务一: EFS文件加密后帐号被删除的恢复方法 （一）修改注册表 新建一个帐号user1 进入开始-〉程序-〉管理工具-〉计算机管理，并从系统工具-〉本地用户和组-〉用户上右键选择新用户,建立账号user1 用user1账号登陆并对自己的文件进行EFS加密 右键选中待加密文件user1doc.txt-属性-〉高级属性，勾中加密内容以便保护数据并确定 备份账号user1的账号文件夹 以administrator（管理员）账号备份C:\Documents and Settings\user1账号目录到d盘 删除用户user1 进入开始-〉程序-〉管理工具-〉计算机管理，并从系统工具-〉本地用户和组-〉用户-右键选中user1,选择删除 重复步骤1新建帐户user1 以user1登陆系统打开文档user1doc.txt,已经拒绝访问 打开注册表 用administrator（管理员）账号登陆，在开始-〉运行中输入regedt32打开注册表 为访问SAM增加权限 选择HKEY_LOCAL_MACHINE-SAM文件夹-SAM-〉安全-〉权限，为Everyone增加操作SAM权限，可以展开SAM到Domains-Account-Users 找到原来user1用户的SID 从备份的user1\Application Data\Microsoft\Crypto\Rsa下的文件夹名中的后四位获取SID的后四位1008（值得注意的是，一般需要先在资源管理器的工具-）文件夹选项-〉查看里，取消隐藏受保护的操作系统文件选项，并选中显示所有文件和文件夹选项，才能看到这些文件夹） 用原来账号的SID重置新建用户的权值 将SID后四位1008由十进制换算为十六进制03F0，将其十六进制换位后即F0 03，更新后建账号000003F2(user1)的F值的对应字段，并确认退出 以后建user1账号登陆系统打开文档user1doc.txt，成功！ 任务二: EFS文件加密后帐号被删除的恢复方法 （二）利用证书恢复 步骤1、2同方法（一） 3、以user1用户通过证书导出私钥 (1)在开始-〉运行中输入mmc打开控制台，选控制台-〉添加/删除管理单元-〉添加-〉证书-〉添加-〉我的证书-〉完成并确定 （2）选择个人-〉证书-〉所有任务-〉导出 （3）按提示选择下一步-〉选择“是，导出私钥”下一步-〉下一步-〉输入口令保护私钥-〉选择备份目录-〉下一步-〉输入保存文件名user1key-〉保存，完成备份证书私钥 步骤4-6同任务一步骤4-6 7、用后建的user1账号，通过证书导回私钥 (1)在开始-〉运行中输入mmc打开控制台，选控制台-〉添加/删除管理单元-〉添加-〉证书-〉添加-〉我的证书-〉完成并确定 （2）选择个人-〉证书-〉所有任务-〉导入-〉找到备份的私钥-〉下一步输入保护口令-〉下一步-〉下一步-〉并完成导入 步骤8同任务一步骤11打开user1doc.txt，成功打开加密文档！ 总结： 通过任务一可以发现，EFS加密/解密与账号的SID有关，WINDOWS2000 SERVER删除用户时由于未删除用户的配置文件所以我们没有导回备份配置文件的步骤，平时只要备份用户的SID和配置文件就能通过该方法恢复加密文件。任务二由于不用更改注册表，相比起来更加简单安全，适合于一般大众使用。